Bluetooth onder druk: Fast Pair blijkt achilleshiel voor privacy

In dit artikel:

Onderzoekers van COSIC (KU Leuven) ontdekten een ernstige veiligheidsfout in Google Fast Pair, de dienst die sinds 2017 veel Bluetooth-oortjes en -koptelefoons automatisch koppelt aan een Google‑account. De aanvallen, gebundeld als “WhisperPair”, laten een aanvaller binnen enkele seconden en met standaardhardware een verbinding overnemen op afstanden tot circa 14 meter — ook als het accessoire niet expliciet in koppelmodus staat of de gebruiker geen toestemming geeft.

COSIC demonstreerde praktische gevolgen: in een openbaar vervoer-scenario kan iemand audio onderbreken of vervangen en de microfoon stilletjes activeren om gesprekken of omgeving af te luisteren. Een nog ernstiger risico betreft stalking via Googles Find‑Hub-netwerk: als een accessoire nog nooit gekoppeld was, kan een aanvaller zich als ‘eigenaar’ registreren en het apparaat en de drager dagenlang volgen; meldingen over ongewenste tracking verschijnen vaak pas na 48 uur en wekken weinig alarm.

De onderzoekers testten 25 modellen van 16 fabrikanten (onder meer JBL en Sony) en slaagden bij 68% in het overnemen van verbindingen en misbruik van de microfoon. Oorzaak is volgens hen structureel: Fast Pair vertrouwt te veel op softwarecontroles in firmware, in plaats van op cryptografische garanties, waardoor fabrikanten foutieve implementaties maken. COSIC stelt IntentPair voor als oplossing — een wijziging die koppelen alleen mogelijk maakt wanneer een fysieke handeling van de gebruiker cryptografisch wordt bevestigd.

Google classificeerde de kwetsbaarheid als kritisch (CVE-2025-36911) en werkt met fabrikanten aan updates die vanaf januari 2026 worden uitgerold. Tot die tijd is het belangrijkste advies aan gebruikers simpel maar cruciaal: installeer firmware-updates van Bluetooth‑accessoires zodra ze beschikbaar zijn. COSIC waarschuwt dat gemak ten koste van veiligheid is gegaan en pleit voor robuuste cryptografische bescherming in het ecosysteem.